マルウェアをクリーンアップした後、マシンを破壊しないのはなぜですか?

マルウェアをクリーンアップした後、マシンを破壊しないのはなぜですか?

これは初心者の質問です。

マルウェアに感染したマシンを直接削除するのではなく、クリーンアップを実行するのはなぜですか? 状況によってはこれが不可能な場合があることは理解しています (大規模な DB サーバーやバックアップがない場合など)。ただし、多くの説明ビデオやツールは、大規模サーバーではなくワークステーション向けに設計されています。

私のワークフローはおそらく次のようなものになると思います: マシンをクリーンアップ/バックアップされていないファイルを回復 -> マシンを削除/再インストール -> バックアップにパッチを適用/更新/復元 -> マシンをネットワークに再度追加。

しかし、私の理解では、マルウェアに対処するための対策として、可能であれば最初のステップ「マシンのクリーンアップ」のみが実行されます。しかし、「クリーンアップ」ステップですべてのマルウェアが削除されたと完全に信頼できるでしょうか? 私が偏執的になりすぎて、必要な作業の 10 倍の作業を行っているのでしょうか、それとも何か見落としているのでしょうか?

ご回答ありがとうございます。

答え1

「多くの説明ビデオやツールはワークステーション向けに設計されています」

(おそらく次のように書くべきでしょう:ユーザー)

多くの家庭ユーザーにとって、彼らは(定期的な)バックアップを取らず、ラップトップ/PCが(唯一の)ペットであるというのは妥当な仮定だろう。彼らの時間と労力は「無料」であり、彼らのデータとファイルは本当にマルウェア感染後、彼らにとって貴重なものとなります。

その前提に立てば、ラップトップや PC が適切に起動し、データやファイルにアクセスして回復できるほど再び使えるようになるまで、多大な労力を費やすのは当然のことです。

このような状況にある多くの家庭ユーザーにとって、これはすでにかなりの成果であり、彼らは今満足しています。
ビデオはこれで終わりです。

彼らは、システムが「完全に修復」されていないこと、そしてデータがまだクリーンであるとは信頼できないことを知らないか、単に無視しています。


専門家として、あなたは、そのようなホームユーザーの世界観(つまり、侵害されたシステムを「修復」して元に戻して実行することは、ほぼ克服できない作業であり、ファイルとデータを回復するために常に必要である)を持つ人々から指示を受ける可能性があります。彼らは、専門家であるあなたが彼らができない多くのことを達成できると信じています(確かに正しいです)そして、あなたが修復を行うと、侵害されたシステムとデータができる再インストールしなくても再びクリーンになることが保証されます。

そこで適切な反論をするのは IT 部門またはあなた次第です。

たとえば、理論上は (そして現実にはそうですよね?)、RPO と RTO を満たすために適切なバックアップやデータ レプリケーションがあり、ビジネス継続性のために侵害されたサーバーからデータを回復する必要はありません。

侵害されたシステムを破壊し、自動インストールおよび構成スクリプトを実行し、再展開して満足してください。


私のワークフローはおそらく次のようなものになると思います:
マシンをクリーンアップ/バックアップされていないファイルを回復
-> マシンを削除/再インストール
-> バックアップにパッチを適用/更新/復元
-> マシンをネットワークに再度追加。

どうやら、あなたは「企業用語」でインシデント対応計画と呼ばれるものを書き始めているようですね。

それは妥当な最初のスタートです。PhilL W.の回答すでにリンクされているServerFaultの優れたリソースただし、インシデント対応計画はシステム管理者によって作成され、システム管理者向けに作成されるだけでなく、ビジネスによってサポートされる必要があることに注意してください。ここでの決定は、多くの場合、データのバックアップとリカバリ (RPO と RTO) が決定される災害復旧計画と密接に関連しています。

答え2

マシンをクリーンアップする/バックアップされていないファイルを回復する...

...その一部または全部が妥協した。 あなたがすべきのみこれらのファイルは、ネットワーク外で診断目的で使用し、マルウェアが侵入する脆弱性を追跡します。これらのファイルに基づいて実行中のシステムを再構築しないでください。

マシンを削除/再インストールします... パッチを適用/更新/バックアップを復元します... マシンをネットワークに戻します。

これは一般的に受け入れられている方法である侵害されたサーバーに対処する、しかし、潜在的に長い間企業の復旧戦略が適切に表現されていない場合、このことが考慮されない可能性があります。そのため、リスクが伴うにもかかわらず、物事を「迅速に」修復するよう求められるのです。

関連情報